L’ipotesi avanzata da The Next Web, finora la più credibile,è che non ci sia stato alcun leak generalizzato su iCloud. Gli hacker potrebbero aver sfruttato un bug minore di Find My iPhone – già patchato da Apple – per praticare un attacco del tipo “forza bruta” sugli account delle celebrità coinvolte. La pessima qualità delle password impostate dalle star potrebbe aver fatto il resto.
Il bug in questione consisteva semplicemente nell’assenza di un sistema di blocco dell’account in caso di tentativi di accesso consecutivi al servizio Find My iPhone. Una condizione che permetteva libertà di azione totale a script che tentano di indovinare le password con un sistema di tipo brute force basato su liste di parole comuni.
Uno script del genere è comparso sabato su GitHub e il bug è stato risolto da Apple solo un’ora fa. Non ci sono elementi che possano permettere una correlazione diretta fra il bug e il leak di immagini, ma gli indizi sono abbastanza per intravedere un legame. In alternativa la coincidenza sarebbe davvero eclatante.
Del resto all’hacker sarebbe bastato violare il singolo account di una celebrità per accedere alle email di molte altre, collegate in qualche modo alla prima. Da lì alla ripetizione del passaggio iniziale il percorso è breve.
A meno che Apple non decida di farci sapere di più, non sarà facile ottenere conferme definitive su quel che sia successo. Per adesso commenti ufficiali sulla questione non ce ne sono. Contrariamente alle previsioni la tempesta tropicale per le PR Apple per ora non si è trasformata in ciclone.